【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト）

Copyright © NIFTY Corporation All Rights Reserved.

クラウド・セキュリティで

注意すべき５つのこと＠『クラウド時代のワークスタイル変革に伴うリスク対策』

ニフティ株式会社

RyosukeYamaguchi

「第9回クラウドランキング」（日経コンピュータ 2014年 10月 16日号）クラウド基盤サービス（ IaaS/PaaS ）部門ベストサービスに選出

Copyright © NIFTY Corporation All Rights Reserved. Confidential 1

本日のアジェンダ

◯ 私について◯ ニフティ社について◯ ニフティクラウドについて◯ クラウドのセキュリティで注意すべき５つのこと


私について

どんな人？ニフティクラウド立ち上げメンバーエバンジェリスト（企画/設計/開発者とか）

最近やっていることエバンジェリスト活動、講演活動コミュニティ推進活動、ビジネス/システム企画

やりたいこと世の中のエンジニアを幸せに

acebook 山口亮介Twitter ＠Meryo2000


Copyright © NIFTY Corporation All Rights Reserved. Confidential

ニフティ社概要

：ニフティ株式会社

： 1986年2月4日

：東京都新宿区

：三竹兼司

： 37億円（2012年3月31日現在）

： 794億円（2013年3月期）

： 1.ISP事業 2.Webサービス事業 3.クラウド事業

社名

創立年月日

所在地

代表取締役社長

資本金

売上高（連結）

主要な事業内容


パソコン通信事業

ISP事業

Webサービス事業

クラウド事業

1980年代〜 1990年代〜 2000年代〜 2010年〜

パソコン通信「NIFTY-Serve」開始

インターネット接続サービス開始

会員様向けWebサービスの充実「NIFTY Cloud」開始

ニフティ社について

パソ通→ ISP、WEB、クラウド、MvNO

2015年〜

MvNO事業

「NifMO」開始


＋ニフティクラウドとは？


ニフティクラウド（ IaaS ）

・オンデマンド（5分でサーバー作成）

・従量課金（1時間7円〜）

・伸縮性（サーバー追加/削除/タイプ変更）

・コントロールパネル

・APIによるプログラム連携

インフラ環境をオンデマンドに

提供するパブリック型クラウドサービス


0

5,000

10,000

15,000

20,000

25,000

30,000

2010 2011 2012 2013 2014

NIFTY Cloud(IaaS)

ニフティクラウドの実績

50億円以上/年


ベストサービスに選出

「第9回クラウドランキング」選出（日経コンピュータ 2014年 10月 16日号）クラウド基盤サービス（ IaaS/PaaS ）部門ベストサービス


ソフトウェア

プラットフォーム

インフラ

SaaSPaaS

IaaS

ニフティの事業領域

ニフティが提供するクラウド


ソフトウェア

プラットフォーム

インフラ

SaaSPaaS

IaaS

ニフティの事業領域

ニフティが提供するクラウド


＋パブリッククラウドとオンプレの違い？


一般的にオンプレミスは

進化しない！！


エンジニアリングパーツ

ニフティクラウドIaaS（Server｜Storage｜Network）

C.D. Storage

メッセージキュー

DNSサービス

データベース

メール送信

自動化機能

サービスやアプリケーションとの間でメッセージをやりとりするためのキューサービスを提供します。

耐障害性、バックアップなどの自動運用を備えた RDBサーバーを提供します。

高速で確実な配信を行うメール配信サービスを提供します。

ドメイン取得と、フェイルオーバー、重みづけラウンドロビンなどを備えたドメイン管理システムを提供します。

Chefを利用したクラウドリソースの自動構築、自動運用サービスを提供します。

アクセス負荷に強い、コンテンツ配信等の用途に優れたストレージサービスを提供します。

構築・運用統合管理ツール

コントロールパネル

機能開発・信頼性向上もベンダーオフロード

新機能、サービスの継続的追加


いまさらのクラウドの利点（抜粋）

拡張性と柔軟性（Scalability＆Flexibility）……

最大性能を見越しての構築は不要

いつでもやめられる

コストの削減（Reduce Cost）……

コストを下げること「も」可能

物理層の手配に高額初期費用は不要

運用負荷の軽減（Minimal Administration）……

「システム運用」は、基本的にクラウドベンダの仕事

etc…


＋クラウドセキュリティ（ダイジェスト）

◯ クラウドのセキュリティで注意すべき５つのこと

クラウドを取り巻く法制度クラウドの継続性（ロックイン）外部からの攻撃/防御クラウド事業者の運用ベンダーとの責任分解点

※ クラウドを利用する方の視点のセキュリティとさせて頂いています。※ 全ての問題を網羅しているわけではございません。


法律継続性攻撃運用責任分解

クラウドのセキュリティ？



法律（ダイジェスト）


法律（ダイジェスト）

場所に関する法的リスク

準拠法（どこの法律に従うか）

管轄（どこの裁判所で係争するか）

開示命令（開示命令に従うことと、顧客と締結した秘密保持）

適用される法律

個人/法人（個人向けサービス提供の場合）

米国パトリオット法（機器データの差し押さえ...）

EUデータ保護指令（EU域外への個人情報転送禁止）

※セーフハーバースキームなども

国内法規等

外為法による制約（持ち出し？持ち出しOK？/NG？）

社内コンプライアンス（社内ルールに意図せず抵触）


事業者のサイトで確認する


公開内容も確認

ホワイトペーパー

対策リスト



継続性（ダイジェスト）


継続性（ダイジェスト）

クラウド事業の継続性

クラウドサービス事業者の倒産

サービスの終了

機能が継続されるか？

利用形態の変更

機能終了の通告タイミング

継続されなかった場合の検討

作り変えが可能か

移行先があるか

移行コストの検討をしているか



攻撃について


攻撃箇所

仮想化基盤

VM VM VM

データセンター

アプリ

仮想マシン

基盤

ファシリティ

経路デバイスコントロールパネル


攻撃箇所

仮想化基盤

VM VM VM


攻撃箇所防御方法

デバイス MDM（盗難対策、遠隔操作）、Anti Virus、暗号化

経路インターネットVPN、専用線、リモート接続サービス

アプリセキュリティ診断

WAF

仮想マシンファイアウォール、AntiVirus、暗号化


？？？

仮想化基盤ファイアウォール、暗号化、安全な人の運用

ファシリティ強固なセンターでの運用管理（電源冗長化、非常用設備、侵入対策、雷、洪水等自然災害対策など）


経路？


お客様ークラウドの経路

仮想化基盤

VM VM VM


アプリ

仮想マシン

経路デバイス


クラウド接続（シンプルVPN）

クラウドとお客様ネットワークを接続、同一ネットワークとして通信可能

経路を守る：お客様ークラウド

ニフティクラウド

専用機器（サービスアダプタ）

設置拠点

同一ネットワーク

設置拠点とクラウドを同一ネットワークの

ように接続


お客様ークラウドの経路

仮想化基盤

VM VM VM


アプリ

仮想マシン

経路デバイス


経路を守る：利用者-お客様環境

リモート接続サービス（シンプルVPN）

パソコン／スマートフォン／タブレット等から、お客様ネットワークに対してリモート接続が可能

専用機器（サービスアダプタ）

設置拠点外出先

ご参考）必要なリモート接続設定（画面はiOS）

VPNクライアント（Windows/MacOS/iOS/Android等）

アカウント設定したVPNクライアントから

拠点へ接続


コントロールパネル？


コンパネのセキュリティの必要性

コンパネにログオンすると。。。

●サーバーの作成が可能

●サーバーの停止が可能

●サーバー、データの削除が可能

●データの複製が可能

実に高機能になりました！！


コンパネのセキュリティの必要性

コンパネにログオンされると。。。

●サーバーの作成が可能無断課金

●サーバーの停止が可能サービス停止

●サーバー、データの削除が可能

データロスト

●データの複製が可能データ流出


コントロールパネルのセキュリティ

最大4重の多層でコンパネを防御

１層目（IDパスワード）IDとパスワードの認証

２層目（2要素認証①）スマホと連動したワンタイムパスワード

３層目（２要素認証②）コンパネパターン認証

４層目（アクセス元制限）IPアドレスでの接続元制限

ID／PASS

ワンタイムパス

パターン認証

アドレス制限


ID/パスワード認証

ID／PASS認証のみではないですか？


ワンタイムパスワード①

パスコード認証はありますか？

６０秒毎に変更される数値で認証


ワンタイムパスワード②

セキュリティ施策の追加は？


IPアドレスアクセス制限

xxx.yyy.zzz.001

yyy.yyy.zzz.002

アクセス出来ないようにできますか？


攻撃箇所

仮想化基盤

VM VM VM


攻撃箇所防御方法

デバイス MDM（盗難対策、遠隔操作）、Anti Virus、暗号化

経路インターネットVPN、専用線、リモート接続サービス

アプリセキュリティ診断

WAF

仮想マシンファイアウォール、AntiVirus、暗号化


ID/PASS、２要素認証、アクセス元制限

仮想化基盤ファイアウォール、暗号化、安全な人の運用

ファシリティ強固なセンターでの運用管理（電源冗長化、非常用設備、侵入対策、雷、洪水等自然災害対策など）



運用


中で何をやっているのか分からない


内部運用の公開

論理的/物理的に分離

ユーザー通信のネットワークと

管理系システムのネットワークを

論理的/物理的に分割

管理システムの監視

IDSで24時間監視 → JPCERT/CC等と連携

運用者の制限

事前に決められたメンバーのみ

決められたネットワーク経由からのみ接続可能


認証：ニフティクラウドのセキュリティ

•外部調査により大手企業からの要求レベルには十分•一部は金融機関レベルに到達

大分類 CCMコントロール概要

コンプライアンス• 監査（内部/外部）対応• 国内、国外法令、規制対応

データの

ガバナンス• データ分類、保護、廃棄管理対応

設備の

セキュリティ• 施設、物理環境に対するセキュリティ対応

情報セキュリティ • 情報セキュリティマネジメント要求全般対応

契約管理 • サービス提供に係る秘密保持、第三者契約対応

運用管理• システム設計書、手順書等への管理対応• リソース管理と保護策への対応

リスク管理 • リスクマネジメント活動対応

リリース管理 • 新規開発、システム環境変更管理対応

耐障害性 • 事業継続性（災害対策）対応

セキュリティ

アーキテクチャー

• ユーザ識別、認証、モニタリング対応• NWセキュリティ、侵入検知、監査ログ等

人的セキュリティ • 従業員、契約社員の雇用・契約への管理対応

1

2

3

5

6

7

8

9

10

11

4

目標レベル

セキュリティ対応策レベル

中小企業一般企業大手企業金融企業(FISC)

「安全対策基準」等の要求項目

※2013.08 EMC社コンサルタント調べ


第3者認証/ベンダー認証も

米国保証業務基準に準拠した「SOC 2 保証報告書」を受領

公的認証等内容

SOC2米国公認会計士協会の基準を利用して提供される内部統制の仕組み

ISMS（取得済）情報セキュリティマネジメントシステムの適合性認証制度

PCI DSS（取得済）クレジットカード協会の定めるデータセキュリティ基準

SAP SE SAP R3 認定基盤

▼取得公的認証制度と適用法



責任分解


どこまでなにをやればよいのか？


責任分界点について

仮想化基盤

仮想マシン

OS

アプリ

経路

デバイス

ファシリティ

お客様


システム全体

仮想化基盤

VM VM VM


アプリ

仮想マシン

基盤

ファシリティ

経路デバイスコントロールパネル


ニフティの対処範囲

仮想化基盤

VM VM VM


基盤

ファシリティ


経路


お客様の対処範囲

仮想化基盤

VM VM VM


アプリ

仮想マシン

経路デバイス


責任分界点について

仮想化基盤

仮想マシン

OS

アプリ

経路

デバイス

ファシリティ

お客様



出来ない部分をどうするか？

仮想化基盤

VM VM VM


アプリ

仮想マシン

経路デバイス

では、この辺りは？


お客様の対処範囲

仮想化基盤

VM VM VM


アプリ

仮想マシン

経路デバイス

では、この辺りは？

多くのパブリッククラウド事業者では

対応出来ていません


デバイスのセキュリティ

●ニフティはパートナーモデル他社さんの製品、ソリューションをご紹介/販売して対応が可能


デバイスのセキュリティは応用電子さんに


Technology

【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」 講師：山口 亮介 氏（ニフティ株式会社 エバンジェリスト）

【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト）